İşletme Sahiplerinin Verilerini Koruma Hakkında Bilmeleri Gerekenler

GDPR ve yürürlüğe giren diğer gizlilik yönetmelikleri nedeniyle tüketici veri korumasını arttırma yönünde son zamanlarda yaşanan gelişmeler sayesinde, işletmeler kullanıcı verilerini daha iyi korumak için platformlarını güçlendirdi. Ama bu yeterli mi? Bir işletme sahibi, girişimci veya yönetici olarak bilmeniz gerekenler?

Son güvenlik açığı raporları, büyük e-ticaret ve sosyal platformların bile siteler arası komut dosyası çalıştırma (veya XSS) saldırıları için kolayca bir saldırı vektörü haline gelebileceğini ve platformlar güvenli olsalar bile gerçekleştiğini kanıtlıyor. Üçüncü taraf uygulama sağlayıcılarındaki müşterilerin karşı karşıya kaldığı büyük platformlar tarafından kullanılan güvenlik açıkları nedeniyle, kullanıcı verilerinin kötü niyetli oyunculara maruz kalması riski artar. Bu maalesef hepimizin karşı karşıya olduğu risk.

Veri gizliliği rejimleri


2018, Avrupa Birliği Avrupa Birliği Vatandaşlarının Korunması ve Korunması Birliği'nin uygulaması olmuştur. 

GSYİH, etkisinin etkisini Avrupa dışında bile destekleyebildi. Ayrıca, işletmeler mahremiyetinizi korumak için kullanılabilecek birçok mahremiyet odaklı çok sayıda düzenleme var.

Bununla birlikte, gizliliğin arttırılmasına yönelik artan bir odaklanma olsa bile, kullanıcı verilerini kötü niyetli bilgisayar korsanlarına kaybetme konusunda hala çok fazla risk vardır. Birincisi, hizmetlerin işbirlikçi niteliği göz önüne alındığında (örneğin, bir ödeme işlemcisi veya lojistik sağlayıcısı kullanan bir e-ticaret mağazası), buradaki en zayıf bağlantı potansiyel bir ihlal getirebilecek hizmet olacaktır. Bu bakımdan, bir üçüncü taraf uygulamasının kullanıcıyı riske attığı anda, tüm işlem zaten tehlikeye girebilir.

Özetle XSS


En basit açıklamada, XSS saldırıları bir veri enjeksiyon biçimidir; burada kötü niyetli müşteri tarafı kodu bir saldırgan tarafından başka bir meşru web sitesine enjekte edilir. Bu, bir web sitesine veya web uygulamasının çıktısına kod (genellikle JavaScript) enjekte ederek, genellikle arama alanları, geri bildirim formları, forum metni giriş alanları ve hatta bir kullanıcının tarayıcısında saklanan çerezler gibi formlarla çalışır.

Şüphelenmeyen bir kullanıcı etkilenen bir web sitesine eriştiğinde, enjekte edilen kod, kod çalıştırma, veri çalma, bir kullanıcının oturumunu kontrol etme veya bir bilgisayar sistemine ya da ağa arka kapıyı yükleme gibi bir yük taşıma potansiyeline sahiptir.

Bu tür saldırılar, günümüz web sitelerinin etkileşimli olması gereği ile karşılanmaktadır. Tarayıcı ve sunucu arasındaki tek bir oturumda sayısız etkileşimle, XSS üçüncü taraf bir web sitesinden içerik çekmek, mevcut çerez verilerini kullanmak (kullanıcı adlarını ve şifreleri de içerebilir) veya bir uygulamanın müşteri tarafı ile doğrudan etkileşimde bulunmak için bile kullanılabilir süreçler.

Hangi platformlar savunmasızdı?


Son zamanlarda DOM-XSS (belge nesnesi modeli-XSS) istismarı, Tinder, Shopify ve Yelp dahil olmak üzere önde gelen sosyal ağ ve e-ticaret sitelerinde bulundu ve 2018'in sonlarında VPN Mentor'u dünya çapında 685 milyon kullanıcıyı veri hırsızlığına maruz bıraktığını bildirdi.

Riskin potansiyeline daha derine inen güvenlik araştırmacıları, XSS'deki güvenlik açığının Western Union para transfer hizmeti ve Imgur görüntü paylaşım servisini içerdiğini keşfetti. Güvenlik açığından etkilenen diğer hizmetler arasında diğerleri arasında Canva, Letgo, Lookout, Fair, Amazon Müzik, TicketMaster ve Reddit yer alıyor.


Zayıf nokta, kullanıcı deneyimlerini farklı cihazlar ve kanallar arasında birleştiren üçüncü taraf bir mobil bağlantı platformundan kaynaklandığı varsayılmaktadır. Hizmet, ortak siteleri için bir takma ad alt etki alanına sahiptir (yukarıda listelenenler de dahil) ve bu alt etki alanlarına işaret eden bağlantılara tıklamak, kullanıcıları kötü niyetli bilgisayar korsanları tarafından enjekte edilen komut dosyaları yoluyla veri hırsızlığına açık hale getirebilir.

İşletmeler ve kullanıcılar ne yapabilir?


İlgili şirket, XSS riskiyle ilgili raporları aldıktan sonra olası güvenlik açığını hemen düzeltti. Ancak, bu, saldırganların güvenlik açığını keşfetmiş olabileceği ve verileri çalmak için kullandığı ihtimalini ortadan kaldırır. Bu nedenle, yukarıda Tinder gibi ayrıntılı olarak yakın zamanda veya düzenli olarak hizmetleri kullanan kullanıcıların, hesaplarının tehlikeye atılmadığını iki kez kontrol etmeleri gerekir. Parola değişiklikleri ve tarayıcı önbelleği / çerez temizliği iyi bir fikir olabilir.

Bu arada işletmeler için - özellikle tüketiciye yönelik platformlar kullananlar veya çalışanların erişimi için web sitelerini kullananlar bile - XW ile ilişkili olarak ComputerWeekly tarafından açıklandığı üzere riskleri en aza indirmenin birkaç yöntemi vardır. Bu, sıkı bir güvenlik geliştirme yaşam döngüsü olan uygulamalar oluşturmayı içerir. Bu, tasarım ve kodlamada güvenlikle ilgili hataları azaltmak veya ortadan kaldırmak için sürekli olarak geliştirme ve güncelleme anlamına gelir. Bu aynı zamanda, uygulama tarafından alınan tüm verilerin, önceden giriş yapmış ve doğrulanmış kullanıcılardan gelse bile, potansiyel olarak güvenilmeyen bir kaynaktan gelebileceğini varsaymak anlamına gelir.

Bu nedenle, girişimciler, işletme sahipleri ve yöneticiler için benimsenebilecek bazı değişiklikler şunları içerebilir:

Kullanıcı girişine kör olarak güvenmemek. Bu, bu tür veriler güven sınırlarından geçtiğinde tür, uzunluk, format ve veri aralığı için girişin sürekli olarak doğrulanması anlamına gelir;
İstenmeyen kod veya karakter kümelerinin geçirilme olasılığını önlemek için istemci tarafı girişini azaltmak;
Bir web sayfasının karakterini, İngilizce ve çoğu Avrupa dili için yeterli olan minimum seviyeye (ISO-8859-1) ayarlamak;
Kullanıcılardan kritik hizmetlere erişmeden önce yeniden kimlik doğrulamalarını isteme;
Birden fazla IP adresinden erişim tespit edilirse hemen oturum açma oturumlarının süresi doluyor;
Bu riskleri gerçek zamanlı olarak takip etmek için güvenlik açığı tarayıcılarının kullanılması;
Bir uygulama veya web sitesi yayına girmeden önce penetrasyon testi yapmak.

XSS saldırıları manşetlerin her tarafında olduğu için, özellikle daha iyi veri gizliliği ve koruması çağrıları ışığında güvenlik riskini önlemeye odaklanmak mantıklıdır. Bu, günümüzde, çoğu sitenin istemci tarafı komut dosyası çalıştırmadan çalışmayacağı gerçeği göz önüne alındığında, önemlidir.

Eğer bu hala başınıza gelmemişse, web yöneticinize başvurduğunuzdan ve veri korumayla ilgili bu önemli noktalardan sizinde geçmesini sağladığınızdan emin olun.